構建商業(yè)銀行信息安全體系的建議

　　信息化給中小城市商業(yè)銀行帶來(lái)好處的同時(shí)，也帶來(lái)了新的風(fēng)險，下面是小編搜集整理的一篇關(guān)于中小城市商業(yè)銀行信息安全現狀探析的論文范文，供大家閱讀查看。

　　一、銀行業(yè)信息安全概述

　　就銀行業(yè)而言，幾乎所有的業(yè)務(wù)都運行在IT基礎設施之上，尤其是新出現的金融產(chǎn)品和服務(wù)更加趨于開(kāi)放和互聯(lián)，進(jìn)一步加強了對信息系統的依賴(lài)程度。

　　信息系統和信息安全已經(jīng)成為操作風(fēng)險管理的重要內容。信息的保密性、完整性、有效性以及信息系統可用性對銀行業(yè)務(wù)的成敗起著(zhù)至關(guān)重要的作用。

　　美國的金融服務(wù)現代化法案(GLBA，Gramm-Leach-Bliley Act)，要求銀行對某些關(guān)鍵信息的保密性、完整性等進(jìn)行保護。巴塞爾銀行監管委員會(huì )設立的電子銀行小組(EBG)發(fā)表了《電子銀行風(fēng)險管理原則》，確定了進(jìn)行電子銀行業(yè)務(wù)風(fēng)險管理的14條基本原則，這些大都已經(jīng)在銀行信息安全管理中得到了不同程度的應用�！缎掳腿麪枀f(xié)議》強調在進(jìn)行風(fēng)險管理的時(shí)候，不僅僅要重視傳統的信用風(fēng)險，而且要將操作風(fēng)險放在一個(gè)重要的地位。

　　在中國，金融監管部門(mén)對于信息安全也作出了相應的界定。中國銀行業(yè)監督委員會(huì )《商業(yè)銀行信息科技風(fēng)險管理指引》(銀監發(fā)〔2009〕19號)如此定義：信息安全風(fēng)險是指信息系統在規劃、研發(fā)、建設、運行、維護、監控及退出過(guò)程中，由于技術(shù)和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險，具有技術(shù)性高、涉及范圍廣、隱蔽性強等特征。

　　信息安全管理在中小城市商業(yè)銀行面臨挑戰。首先是技術(shù)問(wèn)題，表現為計算機硬件、軟件、網(wǎng)絡(luò )以及相應業(yè)務(wù)信息系統所引發(fā)的異常情況，包括程序錯誤、系統宕機、軟件缺陷、操作失誤、硬件故障、容量不足、網(wǎng)絡(luò )漏洞、故障恢復災難備份以及應急處理等諸多內容。

　　其次是管理問(wèn)題，不僅包括信息系統的管理，而且包括中小城市商業(yè)銀行各種業(yè)務(wù)數據的管理。本文就信息系統及其產(chǎn)生的數據，結合中小銀行的特點(diǎn)，在運維、日常使用、應急處置過(guò)程中由于管理缺陷產(chǎn)生的風(fēng)險隱患等方面的內容展開(kāi)討論。

　　二、中小城市商業(yè)銀行信息安全現狀

　　(一)信息安全意識不強，綜合管理能力受限

　　我國中小城市商業(yè)銀行規模小、網(wǎng)點(diǎn)少、信息化建設起步晚，因此信息安全意識和管理綜合能力遠落后于信息系統的發(fā)展需求。主要體現在以下幾方面。

　　首先，中小城市商業(yè)銀行的自身性質(zhì)使高級管理層更加關(guān)心財務(wù)報表，而忽視服務(wù)這些財務(wù)報表的信息系統，甚至不能明確信息安全是什么。對于信息安全的投入大部分限于基礎設備和系統，卻不知其信息系統的可用性、信息資產(chǎn)的保密性、可控性對其業(yè)務(wù)的重要作用。

　　其次，中小城市商業(yè)銀行員工普遍認為，信息安全管理工作的效果取決于信息技術(shù)，卻不知道用戶(hù)對信息系統的每個(gè)操作都具有威脅的可能，操作不當將轉變?yōu)轱L(fēng)險。如信息系統終端密碼長(cháng)度的最小設定和定期性更改就是最為簡(jiǎn)單的安全設施，但對于規范的設置，部分員工認為其降低了工作效率。IDE統計的數據表明，企業(yè)中信息系統相關(guān)服務(wù)中斷，78%以上是人為造成。

　　最后，中小城市商業(yè)銀行信息系統的運維人員則把信息安全管理工作看成是技術(shù)問(wèn)題，過(guò)分強調信息系統的可用性，認為信息安全管理工作就是網(wǎng)絡(luò )安全和核心主機安全。其實(shí)信息安全更多應該是個(gè)管理問(wèn)題，信息系統的可控性和保密性是信息安全不可或缺的部分，合理的管理制度與嚴格的落實(shí)才是保障信息安全的基礎。

　　(二)信息建設投入不足，系統軟硬件環(huán)境落后

　　受各方因素掣肘，中小城市商業(yè)銀行普遍存在信息化基礎設施投入不足，無(wú)法滿(mǎn)足業(yè)務(wù)發(fā)展需要的問(wèn)題。

　　在對全國31個(gè)省、自治區和直轄市的四百多家中小城市商業(yè)銀行進(jìn)行調查時(shí)發(fā)現，受訪(fǎng)的中小城市商業(yè)銀行72.56%認為信息安全相關(guān)的技術(shù)人員不能滿(mǎn)足工作需要，約18%認為機房場(chǎng)地不足，9.32%認為資金投入不足。31.25%的受訪(fǎng)者認為系統災備能力不足，29.50%認為信息系統的冗余容錯能力不足。

　　國際標準通常如此建議，如果銀行的核心業(yè)務(wù)系統主機容量使用率超過(guò)60%，就須擴大系統容量，但國內很多銀行IT基礎設施都不能滿(mǎn)足該指標，如工行等國有銀行該項指標的平均使用率為67%，個(gè)別中小銀行甚至高達90%。

　　(三)缺乏風(fēng)險管理標準，應急處置能力有限

　　信息化給中小城市商業(yè)銀行帶來(lái)好處的同時(shí)，也帶來(lái)了新的風(fēng)險，諸如信息系統本身的設計規劃不當、人為操作錯誤和攻擊破壞，以及安全管理制度的不完善或執行不到位等，都會(huì )引起系統故障以及業(yè)務(wù)中斷。但首先這些銀行并未建立信息系統風(fēng)險識別、度量、監測、報告和控制管理標準，對于信息系統的威脅和風(fēng)險事件不能通過(guò)科學(xué)的方法提前發(fā)現，只能在問(wèn)題出現后被動(dòng)應對。其次，信息系統的災備系統和容錯能力難以滿(mǎn)足業(yè)務(wù)安全性的要求，應急事件處置流程缺少業(yè)務(wù)部門(mén)的主動(dòng)參與。就業(yè)務(wù)流程來(lái)說(shuō)，其每個(gè)環(huán)節幾乎都能觸發(fā)信息安全事件，因缺乏對風(fēng)險的識別和處理能力，信息系統一線(xiàn)業(yè)務(wù)人員通常在其出現問(wèn)題時(shí)才會(huì )求助技術(shù)部門(mén)，應急事件處置被動(dòng)，甚至影響系統的安全性。

　　三、構建信息安全體系的建議

　　(一)多層次培訓提升信息安全綜合能力

　　首先，樹(shù)立正確的信息安全觀(guān)念，建立牢固的信息安全意識。信息安全錯綜復雜，且與中小城市商業(yè)銀行業(yè)務(wù)、發(fā)展戰略和內部管理關(guān)系密切，與每個(gè)信息系統的參與者息息相關(guān)。只有思想上的重視、制度上的合理以及操作上的合規才能保障信息系統的安全。

　　其次，加強對監管層關(guān)于科技風(fēng)險治理信息安全文件的學(xué)習，加大對信息安全管理的實(shí)施者的專(zhuān)業(yè)培訓，以此轉變技術(shù)人員的觀(guān)念，提高預防性管理水平，從而保障網(wǎng)絡(luò )安全和核心主機安全，做好技術(shù)支持。

　　(二)建立與業(yè)務(wù)架構相關(guān)的信息安全管理體系

　　當今商業(yè)銀行業(yè)務(wù)對信息系統的依賴(lài)程度不斷加深，商業(yè)銀行的業(yè)務(wù)創(chuàng )新基本上離不開(kāi)信息系統的有效支撐。信息系統都是以服務(wù)業(yè)務(wù)為宗旨，僅靠中小銀行內部的個(gè)別部門(mén)無(wú)法做好信息安全管理工作，因此建立合適的中小城市商業(yè)銀行信息安全管理體系顯得尤為重要。

　　從商業(yè)銀行的業(yè)務(wù)組織架構著(zhù)手，參照國際信息安全管理標準體系ISO/IEC17799，銀監會(huì )發(fā)布的《商業(yè)銀行信息科技風(fēng)險管理指引》等行業(yè)標準，結合不同信息系統的威脅和風(fēng)險，建立與自身發(fā)展戰略相適應的信息安全管理組織架構、管理制度等。明確最高管理層對信息安全管理的決策力和推動(dòng)力，高級管理層對信息安全管理、風(fēng)險管理重要事項的決策和協(xié)調作用，制訂信息安全管理方案，包括信息科技安全標準、策略、實(shí)施計劃和持續維持計劃等。落實(shí)部門(mén)負責人對信息安全管理、風(fēng)險管理的職責，定期向上級主管部門(mén)提交信息安全評估報告，確保信息安全管理與發(fā)展戰略一致，使組織內部的溝通協(xié)調能夠順利進(jìn)行，推動(dòng)信息安全管理工作有效落實(shí)。

　　(三)建立分級內控把控信息安全風(fēng)險

　　巴塞爾銀行監管委員會(huì )發(fā)布的《操作風(fēng)險管理與監管的穩健做法》指出，“銀行應該制訂控制和/或緩釋重大操作風(fēng)險的政策、程序和步驟。銀行應該定期檢查其風(fēng)險限度和控制戰略，并且根據其全面的風(fēng)險喜好和狀況，通過(guò)使用合適的戰略，相應地調整其操作風(fēng)險狀況”，“董事會(huì )要確保本行的操作風(fēng)險管理系統受到內審部門(mén)全面、有效的監督，內審部門(mén)必須擁有一支獨立運作、訓練有素、業(yè)務(wù)精良的內審隊，內審部門(mén)不應直接負責操作風(fēng)險的管理”。2003年7月發(fā)布的《電子銀行業(yè)務(wù)的風(fēng)險管理原則》安全控制部分要求商業(yè)銀行從信息系統的保密性、完整性和可用性等方面做好自身信息安全工作，涉及客戶(hù)身份識別、授權，業(yè)務(wù)交易的不可抵賴(lài)性、責任認證，交易和業(yè)務(wù)信息的完整、保密和可控等方面。

　　銀監會(huì )的《商業(yè)銀行信息科技風(fēng)險管理指引》內部審計部分也對商業(yè)銀行作出類(lèi)似要求，“商業(yè)銀行內部審計部門(mén)應根據業(yè)務(wù)的性質(zhì)、規模和復雜程度，對相關(guān)系統及其控制的適當性和有效性進(jìn)行監測。內部審計部門(mén)應配備足夠的資源和具有專(zhuān)業(yè)能力的信息科技審計人員，獨立于本銀行的日�；顒�(dòng)，具有適當的授權訪(fǎng)問(wèn)本銀行的記錄。”

　　商業(yè)銀行應從業(yè)務(wù)和技術(shù)兩個(gè)層面，對銀行內部信息安全進(jìn)行細分，結合本身信息安全現狀制訂完善的安全管理規章制度以及工作流程。業(yè)務(wù)層面應該基于業(yè)務(wù)操作和流程對業(yè)務(wù)人員、管理人員作出規定，明確誰(shuí)操作誰(shuí)負責，誰(shuí)使用誰(shuí)負責;內部審計部門(mén)要負責全行內控制度的檢查與監督功能，對內控信息安全風(fēng)險點(diǎn)作出評級并提出改進(jìn)建議。在技術(shù)層面應基于如ISO/IEC 17799等國際標準及國內監管機構出臺和制訂的信息安全標準和制度，從信息系統的物理環(huán)境安全、網(wǎng)絡(luò )環(huán)境安全、系統應用安全、運維管理安全等角度，明確誰(shuí)運營(yíng)誰(shuí)負責，誰(shuí)維護誰(shuí)負責。制度流程應約束管理層遵從事前要預防、事中要檢查、事后要審計三原則，制度內容應包括安全組織、人員管理、安全策略、應急響應等，并根據信息安全形勢和需求及時(shí)修訂和補充。

　　(四)建立量化信息安全評級標準

　　鑒于銀行業(yè)務(wù)的不斷發(fā)展和信息技術(shù)的持續更新，信息系統始終處在不同的變更過(guò)程中，這也導致新的安全漏洞和威脅不斷出現，中小城市商業(yè)銀行的信息資產(chǎn)也會(huì )持續出現新的安全脆弱點(diǎn)，從而影響到整個(gè)信息系統的安全風(fēng)險狀態(tài)和安全等級。巴塞爾銀行監管委員會(huì )對此也作出明確要求，其發(fā)布的操作風(fēng)險的第5條管理原則指出：銀行應該建立經(jīng)常性的操作風(fēng)險監控流程，定期向管理層報告操作風(fēng)險的相關(guān)信息，實(shí)現對操作風(fēng)險的積極管理。

　　中小城市商業(yè)銀行應建立一套動(dòng)態(tài)的信息安全狀況跟蹤和監控機制。內容應涉及機房環(huán)境、網(wǎng)絡(luò )安全、安全運維、主機應用安全、應用接入端信息安全管理等模塊�？梢詤⒖笺y行業(yè)監督管理委員會(huì )發(fā)布《銀行業(yè)金融機構信息系統風(fēng)險管理指引》科技治理部分�！度嗣胥y行信息系統信息安全等級保護實(shí)施指引(試行)》等規定設計符合自己需要的威脅和風(fēng)險事件列表，以此為量化信息安全的標準并定期進(jìn)行評估，形成評估安全基線(xiàn)，對信息安全工作有整體、客觀(guān)的把握。重點(diǎn)監控威脅程度高的預定義事件，并建立應急預案。

　　(五)完善信息安全基礎環(huán)境建設

　　中小城市商業(yè)銀行的核心業(yè)務(wù)系統基本建成，但其信息系統軟硬件環(huán)境遠落后于業(yè)務(wù)發(fā)展需要，尤其是不能滿(mǎn)足信息安全相關(guān)要求。雖然國內目前還沒(méi)有明確的容災備份標準，但考慮到中小城市商業(yè)銀行業(yè)務(wù)系統服務(wù)中斷，業(yè)務(wù)數據不可恢復會(huì )對其造成災難性打擊的可能，應積極建設災備系統，將異地數據、業(yè)務(wù)中心寫(xiě)入中小城市商業(yè)銀行的公司發(fā)展戰略中，作為完善應急處理機制的核心內容之一。在建設災備和異地中心時(shí)，通過(guò)參考現有的國際容災標準SHARE 78等來(lái)制訂符合自身的建設標準和維護制度，加強管理，并通過(guò)共建和引入金融云技術(shù)方案等方式來(lái)降低初期的成本投入。

　　參考文獻：

　　[1]何茂春.商業(yè)銀行信息科技風(fēng)險的量化計量研究[J].金融論壇，2009(2)：42-48.

　　[2]馮登國.國內外信息安全研究現狀及其發(fā)展趨勢[J].網(wǎng)絡(luò )安全技術(shù)與應用，2001(1)：8-13.

　　[3]馬希佳.銀行信息安全規劃概述[J].華南金融電腦，2007(7)：64-66.

　　[4]紀恒建，劉智廣.河北省中小商業(yè)銀行信息科技風(fēng)險狀況調查[J].金融教學(xué)與研究，2008(4)：35-37.

【構建商業(yè)銀行信息安全體系的建議】相關(guān)文章：

商業(yè)銀行約束制度體系的構建09-13

構建合理的商業(yè)銀行績(jì)效評價(jià)體系09-16

我國商業(yè)銀行全面風(fēng)險管理體系的構建07-03

企業(yè)信息安全管理體系構建的要點(diǎn)與策略論文06-29

民航空管網(wǎng)絡(luò )與信息安全管理體系的構建論文07-03

信息構建與知識構建06-03

淺談構建有中國特色的信息農業(yè)發(fā)展體系07-21

機務(wù)安全文化體系構建與研究對象論文09-29

關(guān)于高校安全文化體系的構建問(wèn)題探討05-06

房地產(chǎn)企業(yè)營(yíng)銷(xiāo)安全體系的構建10-16